mysql防sql注入的php函数

最新推荐文章于 2023-11-13 21:53:55 发布
最新推荐文章于 2023-11-13 21:53:55 发布
阅读量4.4k 收藏 1
点赞数
分类专栏: php 文章标签: mysql php sql string function query
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luguo0816/article/details/7199637
版权
1、string mysql_escape_string ( string $unescaped_string )

本函数将 unescaped_string 转义,使之可以安全用于 mysql_query()。

Note: mysql_escape_string() 并不转义 % 和 _。 本函数和 mysql_real_escape_string() 完全一样,除了 mysql_real_escape_string() 接受的是一个连接句柄并根据当前字符集转移字符串之外。mysql_escape_string() 并不接受连接参数,也不管当前字符集设定。


2、string mysql_real_escape_string ( string $unescaped_string [, resource $link_identifier ] )

本函数将 unescaped_string 中的特殊字符转义,并计及连接的当前字符集,因此可以安全用于 mysql_query()。

Note: mysql_real_escape_string() 并不转义 % 和 _。 


thinkphp2.1中使用string mysql_escape_string(string $unescaped_string);

mysql_escape_string()函数的调用在

Db::select();

     Db::parseWhere();

    Db::parseValue();

    转到DbMysql.class.php

     DbMysql::escape_string();


ecmall2.2.1用addslashes();

在ECMall::startup();中有以下代码

        if (!get_magic_quotes_gpc())
        {
            $_GET   = addslashes_deep($_GET);
            $_POST  = addslashes_deep($_POST);
            $_COOKIE= addslashes_deep($_COOKIE);
        }

在ecmall.php文件中有以下普通函数 

function addslashes_deep($value)
{
    if (empty($value))
    {
        return $value;
    }
    else
    {
        //array_map —     将回调函数作用到给定数组的单元上
        return is_array($value) ? array_map('addslashes_deep', $value) : addslashes($value);
    }
}



在ecmall2.2.1的mysql.php文件中还有以下函数

    function escape_string($unescaped_string)
    {
        if (PHP_VERSION >= '4.3')
        {
            return mysql_real_escape_string($unescaped_string);
        }
        else
        {
            return mysql_escape_string($unescaped_string);
        }
    }



YogiLai
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php is_numberic函数造成的SQL注入漏洞
01-21
一、is_numberic函数简介国内一部分CMS程序里面有用到过is_numberic函数,我们先看看这个函数的结构bool is_numeric (mixed $var)如果 ... //是 values($s) 不是values(‘$s’)mysql_query($sql);上面这个片段程序是判
MySQL 安全及SQL 注入攻击
wjq008的专栏
04-27 1640
如果通过网页获取用户输入的数据并将其插入MySQL数据库,那么就有可能发生SQL注入攻击的安全问题作为研发,有一条铁律需要记住,那就是。
SQL注入靶场通关
热门推荐
龙卷风摧毁停车场
04-08 1万+
SQL注入靶场通关 SQL注入简介 SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 SQL注入原理 SQL注入攻击是通过操作输入来修改SQL语句,用以达到执行代码对WEB服务器进行攻击的方法。就是在post/getweb表单、输入域名或页面请求的查询字符串中插入SQL命令,使web服务器执行恶意命
Mysql优化安全】sql注入
weixin_44823875的博客
05-20 5796
Mysql安全】sql注入(1)什么是sql注入(2)寻找sql注入的方法(3)mybatis是如何做到sql注入的(3.1)sql对比(3.2)简单分析(3.3)底层实现原理(3.4)总结#{}和${}的区别(3.5)总结(3.6)如果手工处理“${xxx}”(3)常见的sql注入问题:数据库查询参数的类型转换处理(4)sql注入的思路(5)放置sql注入的方法 (1)什么是sql注入 (1)概念 “SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让
mysql 注入的方法_Mysql常用的注入方法 | 极安全-JiSec
weixin_35947010的博客
01-18 617
1.简单sql注入简述:所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。magic_quotes_gpc的一点认识以及addslashesaddcslashes区别:1、条件:magi...
mysql注入和预
山鬼谣弋痕夕的博客
10-01 969
所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用户输入的数据进行过滤处理。 输入的用户名必须为字母、数字及下划线的组合,且用户名长度为 8 到 20 个字符之间: if (preg_match("/^\w{8,20}$/", ...
phpsql注入简单分析
10-24
主要介绍了phpsql注入的方法,简单分析了通过stripslashes及mysql_real_escape_string函数进行字符转移处理的技巧,非常具有实用价值,需要的朋友可以参考下
PHP MYSQL注入攻击需要预7个要点
12-15
3:最好抛弃mysql_query这样的拼接SQL查询方式,尽可能使用PDO的prepare绑定方式。 4:使用rewrite技术隐藏真实脚本及参数的信息,通过rewrite正则也能过滤可疑的参数。 5:关闭错误提示,不给攻击者提供敏感信息...
php简单实现sql注入的方法
12-18
一般性的注入,只要使用php的 addslashes 函数就可以了。 以下是一段copy来的代码: PHP代码: $_POST = sql_injection($_POST); $_GET = sql_injection($_GET); function sql_injection($content) { if (!get_...
php mysql_real_escape_string addslashes及mysql绑定参数SQL注入攻击
12-18
php mysql_real_escape_string addslashes及mysql绑定参数SQL注入攻击 phpSQL注入攻击一般有三种方法: 使用mysql_real_escape_string函数 使用addslashes函数 使用mysql bind_param() 本文章向大家详细...
PHP+MysqlSQL注入源码 下载
12-25
PHP+MysqlSQL注入源码、下载解压部署到环境中去就行了。
SQL注入php代码
08-24
SQL注入php,通用注入类
SQL注入以及注入代码
05-15
SQL注入以及注入代码
mysql注入
02-07
mysql注入是个严重的安全问题,这个是简单的PHP配合mysql注入。
MySQLSQL预编译及SQL注入
最新发布
qq_29750559的博客
11-13 1218
本文主要介绍mysql预编译原理、作用以及它是如何sql注入
mysql注入方法_止SQL注入的六种方法
weixin_36428079的博客
02-02 5010
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例比如在一个登录界面,要求输入用户名和密码:可以这样输入实现免帐号登录...
mysql如何注入_如何sql注入
weixin_28949779的博客
01-19 1148
sql注入的方法:1、开启配置文件中的“magic_quotes_gpc”等设置;2、执行sql语句时使用addslashes进行sql语句转换;3、Sql语句书写尽量不要省略双引号和单引号;4、过滤掉sql语句中的一些关键词;5、提高数据库命名技巧等等。SQL注入的方式有:执行sql语句时使用addslashes进行sql语句转换,过滤掉sql语句中的一些关键词,提高数据库表和字段的命名...
六招SQL注入式攻击
Java生涯
01-06 1252
SQL注入是目前比较常见的针对数据库的一种攻击方式。在这种攻击方式中,攻击者会将一些恶意代码插入到字符串中。然后会通过各种手段将该字符串传递到SQLServer数据库的实例中进行分析和执行。只要这个恶意代码符合SQL语句的规则,则在代码编译与执行的时候,就不会被系统所发现。由此可见SQL注入式攻击的危害是很大的,那么作为数据库管理员该如何来治呢?下面这些建议或许对数据库管理员SQL注入式攻击
mysql 止 注入_mysql注入
weixin_35513425的博客
01-18 233
简单背景:sql注入是web安全领域里一个挺热门的话题。sql注入主要是由于拼接sql语句造成的,攻击者通过传入非法的参数使拼接成的sql变成非程序员本意的sql查询,攻击者可以完成登录,删除用户数据甚至危害系统安全。通过stackoverflow,可以找到比较安全的范方法,主要有两种方式:mysqli和pdo。这两种都是通过预定义和参数绑定处理的,几乎可以止任何的sql注入。对于只用到mys...
mysql如何sql注入
08-22
MySQL可以通过以下几种方法来SQL注入攻击: 1. 使用参数化查询或预编译语句:使用参数化查询或预编译语句可以将用户输入的值与SQL语句分离开来,从而避免了将用户输入直接拼接到SQL语句中的风险。 2. 输入验证和过滤:对于用户输入的数据,进行必要的验证和过滤,确保输入符合预期的数据格式和类型。可以使用正则表达式、白名单过滤等方法来实现。 3. 使用编码函数和转义字符:对于需要将用户输入作为字符串插入到SQL语句中的情况,可以使用编码函数(如PHP中的`mysqli_real_escape_string`)或转义字符(如将单引号转义为两个单引号)对特殊字符进行转义,从而避免被误认为SQL语句的一部分。 4. 最小权限原则:为了减少攻击者利用SQL注入攻击获取敏感数据的风险,应该在MySQL中使用最小权限原则。即为每个应用程序或用户提供所需的最低权限,限制其对数据库的操作范围。 5. 定期更新和维护:及时更新MySQL数据库和相关软件的补丁和升级版本,以修复已知的安全漏洞,并定期审查和维护数据库权限及用户访问控制机制。 除了以上方法,还可以使用Web应用火墙(WAF)或其他网络安全设备来监控和拦截可能的SQL注入攻击。综合采用多种护措施可以提高数据库的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值